Single-Sign-On als Wunschziel

Foto: OpenId.net

Das Leben im Web-2.0-Zeitalter erfordert ein gutes Gedächtnis: Für jeden Internet-Dienst sind andere Zugangsdaten erforderlich. Mehrere Initiativen gegen das Passwort-Chaos im Web blieben bisher erfolglos. Jetzt treibt Microsoft zusammen mit Google und Yahoo den Standard OpenID voran und setzt damit neue Impulse.

Kein Vertrauen

Schon 1999 hat der Software-Marktführer das "Passport"-Projekt gestartet und in sein Betriebssystem Windows XP sowie in seinen Webmail-Dienst Hotmail integriert. Eine konkurrierende Firmengruppe um Sun Microsystems konterte 2001 mit dem "Liberty Alliance Project". Beide Ansätze sind heute mehr oder weniger eingeschlafen, weil eine Mehrheit der Nutzer kein Vertrauen dazu hatte.

Dezentral angelegt

Einen anderen Weg für das "Single Sign-On", also das einmalige Anmelden bei unterschiedlichen Web-Portalen, beschreitet das 2005 gestartete Projekt OpenID, das von vornherein dezentral angelegt ist. Anstatt sich wie gewohnt mit Nutzername und Passwort an einem Server anzumelden erfolgt die Identifizierung hier in drei Schritten:

1) Bei dem gewünschten Web-Portal wird nur angegeben, über welchen OpenID-Provider die Anmeldung erfolgen soll.

2) Der Nutzer wird zu einer Seite des OpenID-Providers seines Vertrauens geleitet. Dort meldet er sich wie gewohnt an, und der Server erzeugt eine kryptische Internet-Adresse (URL) mit vielen unlesbaren Buchstaben und Zahlen.

3) Diese URL wird an das Web-Portal geleitet, womit man dort automatisch angemeldet wird. Dieser Web-Server kennt somit nur die vom OpenID-Provider gelieferte URL, aber weder den zugehörigen Nutzernamen noch das Passwort.

Jeder Website-Betreiber kann OpenID anbieten

Aufgrund des dezentralen Konzepts kann jeder Betreiber eines Web-Angebots zum OpenID-Provider werden. Inzwischen machen fast alle mit und bereiten ihre Login-Seite für den Zugriff über das OpenID-System auf. Umgekehrt gibt es aber bisher nur wenige Web-Anbieter, die als "Relying Party" von OpenID fungieren und beim Login eine OpenID-URL akzeptieren, also das Einloggen über eine andere Webseite.

Windows Live ID nur ein Provider

"Windows Live ID ist der Identity Provider für Microsoft und Partner-Websites", erklärt der zuständige Microsoft-Manager Jorgen Thelin. "Daher werden wir nur als ein OpenID Provider agieren." Aber andere Microsoft-Seiten könnten ihre eigenen Entscheidungen treffen, ob es für ihre Geschäfte sinnvoll sei, auch als "OpenID Relying Party" aufzutreten.

Für Phishing anfällig?

Ähnlich verhalten sich bisher auch die anderen großen Web-Anbieter. Ursachen für die Zurückhaltung besonders auch in Europa sind Sicherheitsfragen und Fragen nach dem Schutz der Privatsphäre. So gibt es den Einwand, dass OpenID für Phishing-Attacken anfällig sei. Auch ist es möglich, dass der OpenID Provider, über dessen Seiten die Anmeldung erfolgt, ein Profil seiner Nutzer erstellen kann, welche Webseiten diese sonst regelmäßig aufsuchen.

Überall mit einer Identität anmelden

Ist OpenID dann noch in der Lage, einmal eine Zukunft mit "Single Sign-On" zu eröffnen? Microsoft-Manager Thelin gibt darauf eine differenzierte Antwort: "Es wäre im Sinne der Verbraucher wie der Service-Anbieter, wenn es möglich wäre, sich überall im Web mit einer einzigen Identität von irgendeiner Organisation anzumelden, wie es das Versprechen von OpenID ist. Aber das hat seinen Preis. Der Preis besteht in der allgemeinen Sicherheit und der Erfahrung des Endnutzers." Daher trete zwar der Microsoft-Dienst HealtVault auch als Relying Party für OpenID auf, akzeptiere aber nur drei OpenID-Provider, die als zuverlässig eingestuft würden.

Man kann sich zwar auch mehrere OpenID-Identitäten zulegen, wie Thelin bemerkt, und diese dann gezielt für bestimmte Web-Portale nutzen. Aber dies würde dann auch wieder das Wunschziel "Single Sign-On" relativieren. Bis dahin werden wohl noch ein paar Jahre vergehen. In der Zwischenzeit können alle Beteiligten Erfahrungen sammeln. (AP)